Integritetspolicy
Behandling av personuppgifter
Integritet är väldigt viktigt för våra kunder och våra kunders anställda vid användande av våra IoT tjänster. Det är därför mycket viktigt för oss att våra kunder och användare kan lita på att all deras personuppgifter som behandlas av TAGGR är skyddade och hanteras på ett korrekt sätt i linje med den Europeiska dataskyddsförordningen (GDPR) och att rätten till integritet bibehålls.
Vi gör vårt yttersta för att vara transparenta med de personuppgiftsbehandlingar vi utför för våra kunders räkning och tillhandahålla verktyg och information för att de ska kunna efterleva GDPR så smidigt som möjligt.
Behandling av personuppgifter
Vid framtagning och uppdatering av IoT tjänster och funktioner strävar TAGGR efter att endast behandla de personuppgifter och den övriga informationen som krävs. Det innebär att inte samla mer uppgifter än nödvändigt, radera information när den inte längre behövs och att endast använda uppgifterna till det ursprungliga ändamålet.
Åtkomst av personuppgifter i TAGGRs IoT system är idag endast tillgängligt för användare med rätt behörighet. Till exempel kan förare normalt bara se sina egna resor och om det är privata så kan inte övriga användare tillgå dessa.
Biträdesavtal
TAGGR är personuppgiftsbiträde åt våra kunder (personuppgiftsansvariga) med IoT tjänster. När ni blir kund hos oss behöver ett personuppgiftsbiträdesavtal skrivas som säkerställer att vi får behandla personuppgifter för våra kunders räkning och att de görs på ett korrekt sätt.
Personuppgifter som behandlas och i vilket syfte
Vi behandlar följande personuppgifter för våra användare och förare i IoT system; namn, E-post, Lösenord (krypterat), Privata- positioner och adresser samt telefonnummer. I vissa fall behandlas även registreringsnummer för privata fordon (företagsägda fordon klassificerar vi inte som personuppgift). Uppgifterna används för att få tillgång till och nyttjande av IoT tjänsten och för elektroniska körjournal även för att uppfylla skatteverkets krav med förare per resa. Privata resor och i vissa fall fordon behandlas också men är endast tillgänglig för föraren eller användare med behörighet.
Kontaktuppgifter och enhetsdata används även för proaktiv och reaktiv kundvård vid automatiska felsökningar och åtgärder, information om systemuppdateringar och support.
Vid behandling för utskick av nyhetsbrev med nyheter, produkterbjudande och kundundersökningar är TAGGR AB personuppgiftsansvariga. Personuppgifter som behandlas är namn, titel, E-post, telefonnummer.
Hur personuppgifterna behandlas
Vid insamling och uppsättning av nya användare med inloggning till IoT systemet så läggs en E-postadress upp av en av företagets administratörer eller av TAGGR kundcenter.
Förare som inte har tillgång till IoT systemet kommer vi inte heller att begära eller lagra samtycke om behandlingen från. Detta måste då göras av kunden (personuppgiftsansvarige) själv via avtal, intresseavvägning eller medgivande. Behandlingen som utförs för förare utan inloggning är koppling mellan förare och resa i körjournalen och analysrapporter.
Behörig TAGGR personal som arbetar med kundvård använder även personuppgifter för att registrera ärenden, kontakt och felsökning på begäran eller där avvikelser identifierats vid proaktiv kundvård. Uppgifterna är tillgängliga via ett supportverktyg där alla ändringar som utförs av TAGGR personal registreras och loggas.
Kontaktuppgifter för avtalstecknare, beställare av IoT tjänster och mottagare av försändelser behandlas också i egna- och externa system för fakturering, administration och utleverans.
Hantering av E-postutskick för driftinformation, nyheter, produkterbjudanden och kundundersökningar sker utanför IoT systemet hos underbiträde till mottagare som har samtyckt till behandlingen från olika källor.
IP adresser loggas vid besök av TAGGRs hemsida eller IoT system för att kunna göra utredningar vid eventuella hackningsförsök och analyser av webbaktiviteter. Ingen uppslagning av IP adress för att hämta personuppgifter eller koppling mellan användare och IP adress utförs.
Registreringsnummer används för identifiering och slås även upp via underbiträde för att komplettera fordonskortet med bilmodell och bränsleförbrukningsdata.
Gallringsrutiner
Gallring av personuppgifter i IoT system sker enligt nedan:
Användaruppgifter (Namn, E-post, Telefonnummer) lagras så länge man är kund och rensas endast vid uppsägning eller begäran.
Körjournaler (start/stoppadress, sträcka, mätarställning, typ och syfte) sparas så länge man är kund hos oss och rensas endast vid uppsägning eller begäran.
Detta gäller även körjournaler i gamla bilar som sålts eller bytts ut.
Positioner från fordon är tillgängliga i tre månader.
Gallring av personuppgifter i övriga system sker enligt nedan:
Kontaktuppgifter (namn, titel, E-post och telefonnummer) för utskick av nyheter, produkterbjudanden och kundundersökningar tas bort vid förfrågan eller vid nekat samtycke av behandling.
Rensning på begäran påbörjas omgående och är genomfört inom 30 dagar.
Återta samtycke, korrigera, begära utdrag eller ta bort personuppgifter.
Om en användare återtar eller inte samtycker till behandling i IoT system kommer tjänsten att spärras meddelas kundens (personuppgiftsansvarige) administratörer. Användaren eller administratören ska då kontakta personuppgiftsansvarig (normalt arbetsgivaren) som vidarebefordrar begäran till TAGGRs kundcenter. Kundcenter kommer då att säkerställa att rätt person som är behörig begär ut eller vill ta bort uppgifter. Korrigering kan göras antingen i IoT systemet eller begäran via personuppgiftsansvarige.
Vid behandling i utskick av nyheter, produkterbjudande och kundundersökningar är TAGGR personuppgiftsansvariga. När en registrerad nekar samtycke att dennes personuppgifter behandlas raderas personuppgifterna och försvinner ur hanteringen.
Kontakta TAGGR för att korrigera, begära utdrag eller ta bort personuppgifter.
Skyddsåtgärder och dataskydd
Vi jobbar aktivt med informationssäkerhet och använder den senaste tekniken för brandväggar, virusskydd och övervakning för att säkerställa dataskyddet. Genom systematiskt förbättringsarbete utvecklas dataskyddet ständigt och hålls uppdaterat för att säkerställa att vi håller rätt säkerhetsnivå.
TAGGR har en jourgrupp för driftövervakning och det är endast gruppens medlemmar som har direkt tillgång till register av personuppgifter i produktionssystem.
TAGGR använder inte underbiträde eller behandling i tredje land som inte uppfyller gällande villkor för överföring enligt tillämplig dataskyddslagstiftning eller inte motsvarar.
Personuppgiftsbiträdesavtalet.
TAGGR har avtal med samtliga av sina partners och underbiträden som hanterar personuppgifter. All data i IoT system lagras på servrar i Sverige av svenska hostingpartners och är ISO27001 certifierade.
Anlitade underbiträden
TAGGR använder underbiträden för att assistera med att tillhandahålla IoT tjänster med hög tillgänglighet och kvalitet. Underbiträden används för hosting av molntjänst, order- och faktureringstjänster, E-postutskick, Kundundersökningar, E-posthantering och lagring av dokumentation samt uppslagning av fordonsinformation.
Samtliga underbiträden uppfyller de skyldigheter som specificeras i Personuppgiftsbiträdesavtalet.
Hantering vid personuppgiftsincidenter
En personuppgiftsincident är när det sker en händelse som leder till oavsiktlig förstöring, förlust, ändring, röjande av eller obehörig åtkomst till de personuppgifter som behandlas av TAGGR.
Vid en personuppgiftsincident utförs följande steg:
Undersökning av incidenten.
Vidta lämpliga åtgärder för att minska påverkan av incidenten och förhindra upprepning.
Rapport till Personuppgiftsansvarig innehållande.
Beskrivning av personuppgiftsincidentens art.
Kategorier av och det ungefärliga antalet registrerade som berörs.
Kategorier av och det ungefärliga antalet personuppgiftsposter som berörs.
Beskriva de sannolika konsekvenserna av personuppgiftsincidenten.
Beskriva de åtgärder som Personuppgiftsbiträdet har tagit för att åtgärda.
personuppgiftsincidenten.
Kontaktuppgifter till person som kan tillhandahålla mer information och svara på frågor.
Det är personuppgiftsansvariges ansvar att inom 72 timmar anmäla personuppgiftsincidenten till Datainspektionen i de fall incidenten sannolikt leder till risker för enskildas rättigheter. I övriga fall behöver ingen anmälan göras.
